Descubren nuevo ataque de día cero que afecta a Google Chrome



Si eres usuario de Google chrome te recomiendo que realices la actualización de tu navegador lo antes posible.

El investigador Clement Lecigne del Grupo de Análisis de Amenazas de Google descubrió y reportó una vulnerabilidad crítica en el navegador de Chrome el mes pasado el cual puede permitir a un atacante lograr control total sobre la máquina afectada.

La vulnerabilidad fue asignada con el ID CVE-2019-5786 y afecta al navegador de Google para todas las plataformas importantes como Windows, Linux y MACoS.

Sin revelar detalles técnicos de la vulnerabilidad, el equipo de seguridad de Chrome solo dice que el problema es una vulnerabilidad después del uso del componente FileReader del navegador Chrome, que conduce a ataques de ejecución remota de código.

¿Qué es más preocupante? Google advirtió que esta vulnerabilidad de RCE de día cero está siendo explotada activamente por los atacantes para atacar a usuarios de Chrome.

"El acceso al detalle de esta vulnerabilidad, será liberada cuando la gran mayoría de los usuarios de Google chrome actualicen el navegador", señala el equipo de seguridad de Chrome. "También  nos reservaremos la divulgación en caso de que la vulnerabilidad exista en librerías de terceros".

FileReader es una API estándar que ha sido diseñada para permitir que las aplicaciones web lean de forma asíncrona el contenido de los archivos (o buffers de datos sin procesar) almacenados en la computadora de un usuario, utilizando los objetos 'Archivo' o 'Blob' para especificar el archivo o los datos para leer.

La vulnerabilidad se gatilla después de la liberación de un recurso en memoria, la cual permitiría a un atacante poder corromper lo modificar los datos de la memoria, lo que implica en que este pueda realizar una escalada en los privilegios de sistema.

Para poder explotar esta vulnerabilidad, todo lo que un atacante debe hacer es engañar a las víctimas para que solo abran o redirija a una página web especialmente diseñada sin necesidad de interacción adicional.

El parche para la vulnerabilidad de seguridad ya se ha extendido a sus usuarios en una actualización de Chrome estable 72.0.3626.121 para los sistemas operativos Windows, Mac y Linux, que los usuarios pueden haber recibido o recibirán pronto en los próximos días.

Fuente: https://thehackernews.com/2019/03/update-google-chrome-hack.html